Ce guide fournit des étapes pour créer un fournisseur d'utilisateurs Windows afin de gérer les comptes locaux Windows dans le module PAM de Devolutions Server.
- Le service Planificateur doit être installé et en cours d'exécution pour utiliser cette fonctionnalité.
- Si vous utilisez un administrateur différent de l'administrateur intégré par défaut, vous devez activer la stratégie "Contrôle de compte d'utilisateur : Mode d'approbation de l'administrateur pour le compte de l'administrateur intégré". Voir l'article de Microsoft pour plus d'informations : Description du contrôle compte d'utilisateur et des restrictions à distance dans Windows Vista.
Étapes
- S'assurer que WinRM est correctement configuré et que toutes les machines distantes sont ajoutées dans la liste des hôtes de confiance comme indiqué dans WinRM et liste des hôtes de confiance.
- Créer un compte local sur l'hôte distant qui sera géré par le module PAM en tant que compte privilégié. Les comptes locaux doivent avoir l'option L'utilisateur ne peut pas changer de mot de passe activée pour éviter des problèmes avec la synchronisation du mot de passe dans le module d'accès privilégié. Si ce compte doit avoir des droits administratifs, alors l'ajouter au groupe des administrateurs locaux.
- Aller dans Accès privilégié – Fournisseurs sur l'interface web de Devolutions Server pour ajouter un fournisseur d'utilisateurs Windows.
- Définir le Nom du fournisseur; Définir le Nom de l'ordinateur et les informations de Domaine de l'hôte distant dans la section Hôte; Définir les valeurs Nom d'utilisateur et Mot de passe pour le compte du fournisseur dans la section Identifiants. Ce compte doit avoir les droits administratifs appropriés sur l'hôte pour gérer les comptes d'utilisateurs locaux. Dans cet exemple, david@windjammer.loc est un compte de domaine qui est membre du groupe des administrateurs locaux de l'hôte distant.
- Avec l'option Ajouter une configuration de scan activée, créer la configuration de scan pour rechercher des comptes locaux. Le compte Administrateur intégré ne peut pas être géré par le module d'accès privilégié en raison de l'option mentionnée à l'étape 3 ci-dessus qui ne peut pas être activée.
- Une fois le scan terminé, une liste de comptes est disponible. Cliquer sur le bouton Œil pour voir les comptes découverts.
- Sélectionner le compte qui sera géré et cliquer sur le bouton Importer les comptes sélectionnés.
- Sélectionner le dossier où le compte sera situé dans la page Accès privilégié – Comptes.
- En cas de succès, cette boîte de dialogue devrait s'afficher dans le coin supérieur droit.
- Le compte est maintenant disponible dans le dossier.